Tout ce qu’il faut savoir sur les données personnelles
Le très discuté RGPD réglemente la protection des données au niveau européen et national depuis mai 2018. Son contenu se concentre en particulier sur les données personnelles, que les législateurs et les consommateurs cherchent à protéger au maximum. D'autre part, de nombreuses entreprises voient leur potentiel concurrentiel, largement basé sur le Big Data, menacé par les réglementations plus strictes. Mais qu'est-ce qui relève effectivement des données personnelles, et quels droits les personnes concernées peuvent-elles invoquer lorsque leurs informations privées sont collectées, stockées et traitées ultérieurement à des fins économiques ?
Définition : que sont les données personnelles ?
En ce qui concerne la définition des données personnelles, il existe un large consensus parmi les juristes européens : il s'agit de toutes les données et informations qui permettent de connaître l'identité d'une personne physique. Ce point de vue exclut donc les personnes morales et les sociétés, à moins que les associés et les gérants ne soient la même personne physique. En outre, les données personnelles peuvent être distinguées en deux catégories : celles qui sont clairement associées à une personne, et celles qui ne peuvent être assignées à une personne précise qu'avec des informations complémentaires justifiables.
Les deux types de données appartiennent de la même manière à la catégorie de protection des données. Depuis le 25 mai 2018, cependant, le RGPD est, dans tous les états de l'Union européenne, la loi sur la protection des données officiellement valide, qui surpasse la législation nationale. Le nouveau règlement formule plus clairement et étend considérablement les mesures de protection des données personnelles, par exemple avec des obligations de déclaration plus strictes en cas de vol de données. En outre, le RGPD formule des lignes directrices pour la protection des données dans les technologies innovantes, qui doivent encore être développées, et pour lesquelles le mot-clé est Privacy by Design.
Grâce à des clauses d'ouverture, le RGPD réduit ou renforce également certains aspects des lois nationales sur la protection des données. Des réglementations plus strictes s'appliquent en particulier à la collecte, au stockage et à l'utilisation des données personnelles par les entreprises et les autorités. En outre, le règlement fournit désormais une définition généralement applicable du terme, qui a jusqu'à présent été interprétée de manière très différente dans toute l'Europe.
Les données à caractère personnel désignent « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; une «personne physique identifiable» désigne une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » (article 4 du Règlement Général sur la Protection des Données).
Selon cette définition, il existe de nombreux types de données personnelles, dont certaines sont présentées avec des exemples dans le graphique suivant. Cette vue d'ensemble ne saurait toutefois être exhaustive.
Si, en revanche, les données ne peuvent pas être attribuées à une personne précise car elles sont totalement anonymes, il n'est pas nécessaire de respecter les règles de protection des données. Le problème se pose à nouveau avec les données dites pseudonymes, qui peuvent également être utilisées pour définir de qui il s’agit si l'on dispose des connaissances supplémentaires nécessaires. En cas de doute, le principe de prudence est donc toujours appliqué : comme il est parfois difficile de distinguer les données personnelles des données non personnelles, il faut toujours commencer par les premières afin de garantir la protection des informations potentiellement sensibles. Par exemple, les autorités de protection des données supposent que même les adresses IP dynamiques appartiennent aux données personnelles, puisqu'elles peuvent être clairement attribuées à l'utilisateur Internet par l’intermédiaire des fournisseurs d'accès et de services.
Quels sont les catégories particulières de données personnelles ?
Outre les exemples d'informations personnelles déjà énumérés, l'article 9 de la loi sur la protection des données définit également des catégories particulières de données personnelles relatives aux personnes physiques. Il s'agit en particulier de :
- l’origine ethnique et culturelle
- les opinions politiques, religieuses et philosophiques
- l’état de santé
- l’orientation sexuelle
- l’appartenance syndicale
- les informations génétiques (par exemple, les analyses d'ADN) et les données biométriques (par exemple, les photographies et les empreintes digitales)
En raison de la nature explosive de ces informations, les règles de sécurité sont beaucoup plus strictes. En conséquence, le traitement de catégories particulières de données à caractère personnel est en principe interdit en vertu de l'article 9, paragraphe 1, du RGPD, sauf si la personne concernée y a explicitement consenti (une déclaration de consentement pour le traitement de données personnelles générales n'est pas suffisante), ou si ces informations présentent un intérêt public légitime, par exemple dans le cadre de poursuites pénales. Alors que la nomination d'un délégué professionnel à la protection des données est normalement une question qui doit être examinée par le directeur général, elle est obligatoire pour le traitement de données personnelles particulières.
Pourquoi et comment les données personnelles doivent-elles être protégées ?
Tout le monde sait désormais que les grandes entreprises du Web telles que Google et Facebook recueillent à grande échelle des données personnelles sur leurs utilisateurs. Ils les utilisent principalement pour placer des publicités personnalisées, et générer ainsi des profits économiques. Mais le Big Data constitue également un facteur concurrentiel important, sinon le plus important pour la plupart des autres entreprises à but lucratif. Le nombre d’entreprises Web pour lesquelles les données personnelles constituent la base du modèle économique sont en effet en augmentation constante. Les données sont principalement utilisées pour optimiser les structures de vente pour personnaliser les mécanismes de marketing.
Ceci contraste avec des consommateurs de mieux en mieux informés qui craignent, à juste titre, de devenir totalement transparents en créant des profils d'utilisateurs détaillés sur les sites qu’ils fréquentent.
Cette méfiance à l'égard des entreprises, mais aussi des autorités, est également illustrée par les résultats d'une étude publiée en mars 2018 par le Boston Consulting Group (BCG), qui montre qu’en France, entre 75% et 87% des consommateurs sont méfiants à l’idée de partager en ligne leurs données personnelles, cette méfiance étant proportionnelle à l’âge.
Les cas récurrents de vol et de mauvaise utilisation des données avec le phishing et l'utilisation de chevaux de Troie alimentent toujours plus cette peur. En effet, plus des informations sensibles sur un individu circulent, plus le danger associé à son existence financière et sociale est élevé.
Les dispositions relatives à la protection des données responsabilisent donc les instances susceptibles de conserver des données à mauvais escient : les entreprises et les autorités sont légalement tenues de garantir la protection des informations concernant leurs utilisateurs et clients. Cela implique le respect des principes et pratiques énoncés ci-après dans le RGPD :
- Légalité du traitement des données : la collecte, le stockage, l'utilisation et la transmission de données à caractère personnel à des tiers n'est autorisée qu'avec le consentement explicite de la personne concernée.
- Transparence : les entreprises et les autorités sont soumises à une clause de responsabilité, une obligation de documentation et de preuves complètes. Sur toute demande d'une personne concernée, elles sont tenues de fournir des informations sur l’ensemble des procédures de traitement relatives à ses données personnelles.
- Utilité : l'utilisation des données doit toujours être justifiée et ne doit pas être arbitraire.
- Minimisation des données : les organisations sont tenues de ne recueillir que les données nécessaires à leur fonctionnement et de ne conserver qu’une faible quantité d'informations.
- Exactitude du traitement des données : les données conservées doivent toujours être correctes et à jour ou mises à jour le cas échéant.
- Limite du stockage : il existe une obligation régulière de supprimer les données si elles ne sont plus nécessaires aux fins d'une organisation, si elles ont été stockées illégalement ou si une période de limitation prédéfinie a expiré.
- Intégrité et confidentialité : les entreprises et les autorités doivent prendre de larges mesures de protection interne des données. Outre l'utilisation de programmes de cryptage et de logiciels de sécurité, cela comprend également la formation détaillée des employés chargés du traitement des données.
L’article 83, paragraphe 5 du RGPD prévoit une amende pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel d'une entreprise en cas de violations de ces principes. Cette règle incite donc les entreprises à se conformer aux lignes directrices du règlement mais ne peut pas toujours garantir une sécurité absolue pour les données à caractère personnel. C'est pourquoi il appartient en fin de compte aux consommateurs de protéger leur vie privée de leur propre initiative. L'économie de données est donc aussi un principe efficace pour surfer sur Internet. En outre, il est recommandé de supprimer ou au moins rendre anonyme les données personnelles, l'adresse et les données bancaires saisies après avoir effectué un achat en ligne. Enfin, il est également important de connaître vos droits vis-à-vis des entreprises et des autorités.
Quels sont les droits des personnes dont les données personnelles sont collectées, stockées et traitées ?
Le RGPD prévoit en particulier trois droits essentiels qui doivent être invoqués par les personnes concernées dont les données à caractère personnel sont collectées, stockées et traitées :
En vertu de l'article 15 du RGPD, les personnes concernées ont également un droit d'accès aux entreprises et aux autorités auxquelles elles fournissent leurs données personnelles. Les questions explicites suivantes sont utiles pour avoir une bonne vue d'ensemble de l'étendue et de la procédure de stockage des données :
- Quelles sont les données enregistrées me concernant ?
- Où ces données sont-elles stockées ?
- Comment ces données ont-elles été recueillies ?
- Dans quel but ont-elles été stockées ?
- À qui mes données ont-elles été transmises ?
Bien que les entreprises et les autorités soient tenues par la loi de fournir ces informations, dans certains cas, il faut composer avec la mauvaise volonté ou même le harcèlement lorsque l’on attend des réponses à ces questions. C'est ici que la persévérance paie : en invoquant vos droits, en fixant un délai serré et en menaçant de consulter l'autorité responsable de la protection des données, vous obtiendrez les informations que vous êtes légalement en droit de connaître. Et si vous n'êtes pas d'accord avec la manière dont les données sont collectées, si les informations sont incorrectes ou périmées, ou si elles ont été stockées ou transmises illégalement, vous pouvez faire appel à votre droit de rectification, de suppression et de blocage des données (article 15 premier paragraphe du RGDP).
Veuillez prendre connaissance des mentions légales en vigueur sur cet article.